Saat korban mengunjungi situs palsu tersebut, mereka akan menerima file disk image (.dmg) yang berisi file AppleScript terkompilasi bernama Maccy.scpt . Maccy asli tidak pernah mendistribusikan dalam bentuk DMG; aplikasi ini hanya tersedia sebagai
Maccy.app.zip .
Saat diklik dua kali, macOS akan membuka file .scpt di Script Editor sesuai pengaturan bawaan. Bagian file yang terlihat menampilkan instruksi bermerek yang menyuruh pengguna menekan ⌘+R untuk "memulai," sementara kode berbahaya yang asli disembunyikan jauh di bawah setelah banyak baris kosong . Teks tersebut juga menggunakan homoglif Yunani dan Sirilik pada kata "Maccy" untuk mengelabui pemindai berbasis teks
.
pam_start, pam_authenticate, pam_end) tanpa aktivitas shell yang terlihat ethereum-rpc.publicnode[.]com Semua data curian dienkripsi dengan ChaCha20-Poly1305 dan dikirim melalui HTTPS ke endpoint C2 (domain yang terpantau: avenger-sync[.]live dan avengerflow[.]com), dibungkus dalam amplop JSON MacOSapp1{"data":"..."} .
Sebelum meluncurkan muatan berbahaya, dropper menandatangani sementara (ad-hoc signing) bundel aplikasi palsu dengan codesign -fs - --deep. Malware ini juga memeriksa alat debugging dan System Integrity Protection sebelum melanjutkan
.
Muatan tahap kedua ditempatkan dalam bundel bernama Finder.app dengan identifier bundel com.apple.finder.monitor dan ikon Finder.icns asli yang disalin dari /System/Library/CoreServices/ . Kemudian, ia memunculkan
pbpaste untuk mencuri data clipboard. Activity Monitor mungkin akan menampilkan proses Finder kedua yang melakukan pembacaan clipboard — ini adalah anomali yang mencolok .
Persistence (ketahanan) dibuat melalui Login Items (bukan LaunchAgents/LaunchDaemons) menggunakan API SMAppService modern dan API LSSharedFileList lawas. Malware dibundel di dalam: com.apple.finder.monitor dan com.apple.security.daemon (menyamar sebagai Software Update) . Karena panel Login Items di System Settings tidak menampilkan path lengkap, malware ini tampak seperti entri sistem yang sah
.
curl/osascript pada umumnya maccy.app, atau melalui Homebrew / repositori GitHub resmi. Proyek asli bersifat open-source (lisensi MIT) dan dikelola oleh pengembang Alexey Rodionov (Team Identifier MN3X4648SC) .scpt di Script Editor dari disk image yang diunduh lalu menekan Run. Tidak ada aplikasi macOS sah yang meminta Anda melakukan ini com.apple.finder.monitor) yang tidak sengaja Anda tambahkan